Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered, ha pubblicato il suo Indice delle minacce globali per il mese di ottobre 2024.
Il rapporto di questo mese evidenzia una tendenza preoccupante nel panorama della cybersicurezza: l’incremento degli attacchi da infostealer e la crescente sofisticazione dei metodi di attacco impiegati dai criminali informatici.
In Italia, anche nel mese di ottobre si confermano le prime due posizioni nella classifica delle minacce più presenti: FakeUpdates al primo posto e Androxgh0st al secondo. Al terzo posto si registra un cambiamento: Lumma prende il posto di Formbook che scende al settimo posto.
Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto dell’8,36%, (+1,07% rispetto a settembre e +2,5% rispetto all’impatto globale).
La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 6,7% (+0,37% rispetto al dato di settembre e +1,37% rispetto all’impatto globale)
Al terzo posto si posiziona Lumma Stealer malware legato alla Russia che sottrae informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022, con un impatto del 3,75% (+1,19% rispetto all’impatto globale. Formbook, scende in settima posizione con un impatto del 2,34% (-2,31% rispetto al dato di settembre).
Il mese scorso i ricercatori hanno scoperto una catena di infezione in cui vengono utilizzate false pagine CAPTCHA per distribuire il malware Lumma Stealer, che è salito al quarto posto nella classifica mensile delle principali minacce informatiche.
Questa campagna si distingue per la sua portata globale, colpendo diversi Paesi attraverso due vettori di infezione primari: uno che coinvolge URL di download di giochi craccati e l’altro attraverso e-mail di phishing rivolte agli utenti di GitHub come nuovo e innovativo vettore di attacco.
Il processo di infezione induce le vittime a eseguire uno script dannoso copiato negli appunti, evidenziando la crescente diffusione degli infostealer come mezzo efficace per i criminali informatici per esfiltrare credenziali e dati sensibili dai sistemi compromessi.
Nell’ambito del malware per dispositivi mobili, la nuova versione di Necro è emersa come minaccia significativa, posizionandosi al secondo posto tra i malware più presenti.
Necro ha infettato diverse applicazioni popolari, tra cui mod di gioco disponibili su Google Play, in oltre 11 milioni di dispositivi Android. Il malware impiega tecniche di offuscamento per eludere il rilevamento e utilizza la steganografia, che è la pratica di nascondere le informazioni all’interno di un altro messaggio o di un oggetto fisico per evitarne il rilevamento e per nascondere i suoi payload.
Una volta attivato, può visualizzare annunci in finestre invisibili, interagire con essi e persino abbonare le vittime a servizi a pagamento. Questo evidenzia l’evoluzione delle tattiche utilizzate dagli aggressori per monetizzare le loro operazioni.
“L’ascesa di sofisticati infostealer sottolinea come questa sia una realtà di rilievo e crescente; I criminali informatici stanno evolvendo i propri metodi e sfruttando vettori di attacco innovativi. Le organizzazioni devono andare oltre le difese tradizionali, adottando misure di sicurezza proattive e adattive che anticipino le minacce emergenti per contrastare efficacemente queste sfide persistenti”.
Maya Horowitz – VP of Research di Check Point Software
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è il malware più diffuso questo mese con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 4%.
- ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
- ↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
- ↑ Lumma Stealer, noto anche come LummaC2, è un malware legato alla Russia che ruba informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Questo malware, scoperto a metà del 2022, è in continua evoluzione e viene distribuito attivamente sui forum in lingua russa. LummaC2 si concentra sulla raccolta di vari dati dai sistemi infetti, tra cui le credenziali del browser e le informazioni sui conti delle criptovalute.
- ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
Le vulnerabilità maggiormente sfruttate
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086 – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
Principali malware per dispositivi mobili
Questo mese Joker è al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Necro e Anubis.
- ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
- ↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
- ↓ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
I settori più attaccati a livello globale
Questo mese l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori attaccati a livello globale, seguita da governo/militare e comunicazioni.
- Istruzione/Ricerca
- Governo/Militare
- Comunicazioni
I gruppi di ransomware maggiormente rilevati
I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Meow con il 5%.
- RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
- Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
- Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto. Meow Ransomware si diffonde attraverso vari vettori, tra cui configurazioni RDP non protette, spam via e-mail e download dannosi, e utilizza l’algoritmo di crittografia ChaCha20 per bloccare i file, esclusi i file “.exe” e di testo.